Обновена на 08.03.2024 от Questo
Преди години спамърите регистрираха домейни-ментета, които наподобяват домейна на дадена институция, за да могат да изпращат фишинг кампании.
Сега сменят тактиката. Вместо да регистрират домейни-ментета, те търсят такива домейни, които някой вече е регистрирал, но не е конфигурирал добре, и базират фишинг атаките си на тях.
През януари 2024 г. Questona съобщи за фишинг кампания срещу клиенти на TBI Bank. Имейлите бяха подписани от kate @ tbi[.]bg; това обаче не е домейнът на банката, а на велинградска фирма за печки. Тъй като собственикът на домейна tbi.bg не беше конфигурирал добре протоколите си за имейл валидиране, беше възможно от негово име спамъри да изпратят фишинг имейли, които прескачат спам филтрите и влизат в пощенските кутии на потенциалните жертви.
През февруари 2024 г. Questona засече поне още четири такива опита за фишинг. Кампаниите са изпратени от следните имейл адреси:
kate @ obb[.]bg
kate @ e-postbank[.]com
online-portal @ dsk[.]com
online-portal @ dskbank[.]com
Нито един от тези домейни не принадлежи на българска банка.
Официалният домейн на Банка ДСК е dskbank.bg, на ОББ – ubb.bg, на Пощенска банка – postbank.bg.
Очевидно е, че се търси прилика с официалните домейни, за да се увеличи ефективността на фишинг атаката. Ако сте клиент на ОББ, по-вероятно е да не се усъмните в автентичността на имейл съобщение, ако ви е изпратено от noreply @ obb[.]bg, отколкото от mailer @ bookmail[.]org.
Както например не бихте повярвали, че имейлът е изпратен от Уникредит Булбанк, ако идва от домейна cska.bg (да, имаше и такъв случай).
Защо тази тактика е предпочитана?
Домейн-ментетата са като стоките-менте. Целта им е да спечели доверието на потребителите.
Тази тактика е предпочитана и защото спамърите не трябва да регистрират домейн-менте. Достатъчно е да намерят домейн, който вече е регистриран от някой друг, но не е защитен срещу имейл фалшификация.
Така се избягват усложненията, свързани с регистрацията на домейн, които биха могли да доведат и до разкриване самоличността на спамърите.
В същото време, домейнът-менте може да мине успешно през някои спам филтри. Включително и филтрите на най-популярната имейл услуга в България, която се използва и от много фирми и държавни институции.
Как това засяга собствениците на „домейни-ментета“
Ако домейнът, който притежавате, наподобява този на популярен бранд, това на първо време може и да не ви засяга директно, но рано или късно ще има последствия.
Най-малкото дмейнът ще бъде маркиран като потенциално опасен и няма да може да изпращате имейли от него. Маркирането на един домейн като опасен ще намали цената му (ако сте го купили с цел да го препродадете.
Ето защо ако установите, че домейнът ви се фалшифицира за целите на фишинг кампании, е добра идея да конфигурирате DKIM, SPM и DMARC протоколи.
Как да разпознаете фишинг
Проверете легитимността на домейна, от който е изпратено съобщението.
Не отваряйте линка в съобщението. Като сложите показалеца на мишката върху линка може да видите накъде води той.
Фишинг имейлите обикновено не са персонализирани (Уважаеми клиенти), или са персонализирани само до ниво потребителско име на имейл адреса. Т.е. ако имейл адресът ви е gogi.kostov@email[.]com, обръщението в съобщението ще е „Уважаеми gogi.kostov“, а не „Уважаеми Георги“